Группа программ-вымогателей требует платеж в биткойнах на сумму 70 млн долларов для разблокировки зараженных компьютеров

Группа REvil снова нанесла удар, зашифровав более миллиона систем и потребовав платежа в размере 70 миллионов долларов в биткойнах, чтобы выпустить «универсальный дешифратор», чтобы разблокировать зашифрованные файлы в каждой затронутой системе.

По оценкам, общее количество пострадавших компаний составило около 200, около 40 из которых были атакованы через Kaseya, поставщика управляемых услуг (MSP), который, как полагают, оказался в центре этой атаки на цепочку поставок.

REvil Group требует оплаты биткойнов в размере 70 миллионов долларов за дешифратор

Поздно 2 июля 2021 года в Интернете распространились сообщения об еще одной крупной атаке с использованием программ-вымогателей. Были затронуты около 30 MSP, затронувших сотни компаний и, теоретически, миллионы индивидуальных компьютеров.

Вскоре выяснилось, что за атакой программ-вымогателей стоит пресловутый преступный синдикат REvil: группа требовала выкупа в размере до 50 000 долларов за разблокировку отдельных систем, при этом более крупные ключи дешифрования для всей компании предлагались на сумму до 5 миллионов долларов, причем все платежи производились в биткойнах.

Однако поздно в воскресенье, 4 июля 2021 года, обновление темного веб-сайта REvil показало, что преступная организация предоставит универсальный ключ дешифрования каждому затронутому бизнесу и организации за небольшую плату в размере 70 миллионов долларов.

REvil атакует 200 компаний в рамках атаки на цепочку поставок

Согласно отчету BBC , около 200 американских компаний были атакованы программами-вымогателями. Однако эффект от удара был намного больше. Из-за характера атаки цепочки поставок , когда первоначальная жертва часто является ступенькой к вторичным жертвам, атака вымогателя REvil имеет несколько дополнительных жертв.

В Швеции были вынуждены закрыться 500 супермаркетов Coop, а также 11 школ в Новой Зеландии, и множество других мелких инцидентов распространились по всему миру. По словам генерального директора Kaseya Фреда Воккола, жертвами в основном будут «стоматологические кабинеты, архитектурные фирмы, центры пластической хирургии, библиотеки и тому подобное».

Считается, что есть еще жертвы, многие из которых еще не сообщили или не раскрыли информацию о взломе программы-вымогателя или о том, пытались ли они заплатить выкуп.

По теме: Что такое вредоносное ПО с кодовой подписью и как его избежать?

Голландские исследователи безопасности сообщили об уязвимости Касеи нулевого дня

Наконец, исследователи безопасности из Голландского института раскрытия уязвимостей показали, что они ранее связывались с Kaseya по поводу нескольких уязвимостей нулевого дня (отслеживаемых по CVE-2021-30116 ) в соответствии с руководящими принципами ответственного раскрытия информации.

Исследователи работали с Кайесой, «внося свой вклад в то, что произошло, и помогая им справиться с этим. Это включало предоставление им списков IP-адресов и идентификаторов клиентов, которые еще не ответили, с которыми они незамедлительно связались по телефону».

Но самый главный вывод заключается в том, что Кайеса знала об опасной уязвимости еще до атаки вымогателя REvil, что может стать серьезной проблемой в процессе вскрытия для многих затронутых компаний.